你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用基于 Windows 代理的数据连接器将 Microsoft Sentinel 连接到其他 Microsoft 服务
本文介绍如何使用基于 Windows 代理的连接将 Microsoft Sentinel 连接到其他 Microsoft 服务。 Microsoft Sentinel 使用 Azure 基础为来自许多 Azure 和 Microsoft 365 服务、Amazon Web Services 和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。 可以通过几种不同的方法建立这些连接。
本文介绍基于 Windows 代理的数据连接器组的通用信息。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
Azure Monitor 代理
一些基于 Azure Monitor 代理 (AMA) 的连接器当前处于预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
目前仅 Windows 安全事件、Windows 转发事件和 Windows DNS 事件支持 Azure Monitor 代理。
Azure Monitor 代理使用数据收集规则 (DCR) 来定义要从每个代理收集的数据。 数据收集规则具有两个不同的优点:
大规模地管理集合设置,同时还为计算机的子集启用了有作用域的唯一配置。 这些规则独立存在于工作区与虚拟机之外,这意味着这些规则在定义后可在各种计算机和环境中重复使用。 请参阅为 Azure Monitor 代理配置数据收集。
生成自定义筛选器,以选择需要引入的确切事件。 Azure Monitor 代理使用这些规则在数据源中筛选数据,并且仅引入所需要的事件,对于其他所有内容则不做处理。 这可在数据引入成本方面节省大量的资金!
请参阅下文,了解如何创建数据收集规则。
先决条件
必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
若要从不是 Azure 虚拟机的任何系统收集事件,该系统必须已安装并启用 Azure Arc,然后才能启用基于 Azure Monitor 代理的连接器。
这包括:
- 安装在物理计算机上的 Windows 服务器
- 安装在本地虚拟机上的 Windows 服务器
- 安装在非 Azure 云中虚拟机上的 Windows 服务器
数据连接器特定要求:
数据连接器 许可、成本和其他信息 Windows 转发事件 - 必须启用并运行 Windows 事件收集 (WEC)。
在 WEC 计算机上安装 Azure Monitor 代理。
- 我们建议安装高级安全信息模型 (ASIM) 分析程序以确保完全支持数据规范化。 可以使用Azure-SentinelGitHub 存储库中的“部署到 Azure”按钮部署这些分析器。从 Microsoft Sentinel 中的内容中心安装相关的 Microsoft Sentinel 解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
说明
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。 从列表中选择连接器,然后在“详细信息”窗格上选择“打开连接器”页面。 然后按照“说明”选项卡下的屏幕说明进行操作(如此部分其余内容所述)。
验证你是否拥有相应的权限,如连接器页上的“先决条件”部分中下的内容所述。
在“配置”下,选择“+ 添加数据收集规则”。 “创建数据收集规则”向导将在右侧打开。
在“基本信息”下,输入规则名称,并指定将在其中创建数据收集规则 (DCR) 的订阅和资源组。 这并不要求受监视计算机及其关联必须位于同一资源组或订阅中,只要它们位于同一租户中即可。
在“资源”选项卡中,选择“+ 添加资源”以添加将要应用数据收集规则的计算机。 “选择作用域”对话框将打开,并显示可用订阅的列表。 展开订阅以查看其资源组,然后展开资源组以查看可用的计算机。 列表中将显示 Azure 虚拟机和已启用 Azure Arc 的服务器。 你可以选中订阅或资源组的复选框以选择它们包含的所有计算机,也可以选择单个计算机。 选定所有需要的计算机,然后选择“应用”。 此过程结束时,Azure Monitor 代理将安装在任何尚未安装该代理的选定计算机上。
在“收集”选项卡上,选择要收集的事件:选择“所有事件”或“自定义”以指定其他日志或使用 XPath 查询筛选事件(参阅以下备注)。 在框中输入表达式,表达式的计算结果为要收集事件的特定 XML 条件,然后选择“添加”。 一个框中最多可输入 20 个表达式,一项规则中最多可有 100 个输入框。
若要详细了解数据收集规则,请参阅 Azure Monitor 文档。
注意
Azure Monitor 代理仅支持 XPath 版本 1.0 的 XPath 查询。
添加所有需要的筛选表达式后,选择“下一步:查看 + 创建”。
看到“验证通过”的消息后,选择“创建”。
你将在连接器页面的“配置”下看到所有数据收集规则(包括通过 API 创建的规则)。 你还可以在此处编辑或删除现有规则。
提示
将 PowerShell cmdlet 命令 Get-WinEvent 与 -FilterXPath 参数配合使用可测试 XPath 查询的有效性。 以下脚本显示了一个示例:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- 如果返回事件,则查询有效。
- 如果收到消息“找不到任何与指定的选择条件匹配的事件”,则查询可能有效,但在本地计算机上没有匹配的事件。
- 如果收到消息“指定的查询无效”,则查询语法无效。
使用 API 创建数据收集规则
还可使用 API 创建数据收集规则(请参阅架构),在需要创建大量规则(例如你是 MSSP)的情况下,这将提供极大的便利。 以下示例(对于通过 AMA 的 Windows 安全事件连接器)可用作创建规则的模板:
请求 URL 和标头
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
请求正文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
请参阅 Azure Monitor 文档中的该数据收集规则完整说明。
Log Analytics 代理(旧版本)
Log Analytics 代理将于 2024 年 8 月 31 日停用。 如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理,我们建议你开始计划到 AMA 的迁移。 有关详细信息,请参阅 Microsoft Sentinel 的 AMA 迁移。
先决条件
- 必须对 Log Analytics 工作区以及包含要从中收集日志的计算机的任何工作区拥有读取和写入权限。
- 除了任何 Microsoft Sentinel 角色之外,还必须在这些工作区的 SecurityInsights (Microsoft Sentinel) 解决方案上拥有“Log Analytics 参与者”角色。
说明
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
选择服务(DNS 或 Windows 防火墙),然后选择“打开连接器页面” 。
在生成日志的设备上安装并加入代理。
计算机类型 Instructions 对于 Azure Windows VM 1. 在“选择安装代理的位置”下,展开“在 Azure Windows 虚拟机上安装代理” 。
2.选择 Azure Windows 虚拟机>链接的下载和安装代理。
3. 在“虚拟机”边栏选项卡中,选择要安装代理的虚拟机,然后选择“连接” 。 对于要连接的每个 VM,重复此步骤。对于任何其他 Windows 计算机 1. 在“选择安装代理的位置”下,展开“在非 Azure Windows 计算机上安装代理”
2.为非 Azure Windows 计算机>链接选择“下载和安装代理”。
3. 在“代理管理”边栏选项卡的“Windows 服务器”选项卡上,根据需要为 32 位或 64 位系统选择“下载 Windows 代理”链接 。
4. 使用下载的可执行文件,在所选 Windows 系统上安装代理,并使用上一步中的下载链接下显示的“工作区 ID 和密钥”对它进行配置。
若要允许没有必要 Internet 连接的 Windows 系统仍可将事件流式传输到 Microsoft Sentinel,可以通过“代理管理”页面上的“下载 Log Analytics 网关”链接,在单独的计算机上下载和安装 Log Analytics 网关,以充当代理 。 仍需要在要收集其事件的每个 Windows 系统上安装 Log Analytics 代理。
有关此方案的详细信息,请参阅 Log Analytics 网关文档。
有关其他安装选项和更多详细信息,请参阅 Log Analytics 代理文档。
确定要发送的日志
对于 Windows DNS 服务器和 Windows 防火墙连接器,可以选择“安装解决方案”按钮。 对于旧的安全事件连接器,选择要发送的事件集,选择“更新”Update。 有关详细信息,请参阅可发送到 Microsoft Sentinel 的 Windows 安全事件集。
可以使用数据连接器参考页面中的相应部分中的表名,查找和查询这些服务的数据。
对 Windows DNS 服务器数据连接器进行故障排除
如果 DNS 事件不显示在 Microsoft Sentinel 中:
- 请确保已启用服务器上的 DNS 分析日志。
- 转到 Azure DNS Analytics。
- 在“配置”区域中,更改任何设置并保存更改。 如果需要,请重新更改设置,然后重新保存更改。
- 检查 Azure DNS Analytics,确保事件和查询正确显示。
有关详细信,请参阅使用 DNS Analytics 预览解决方案收集有关 DNS 基础结构的见解。
后续步骤
有关详细信息,请参阅: